Дипломная работа 09.03.02 Информационные системы и технологии: "Разработка политики информационной безопасности и внедрение мероприятий по её обеспечению на предприятии ПАО 'Газпром'"

Актуальность темы

Актуальность темы разработки политики информационной безопасности для ПАО "Газпром" обусловлена ростом киберугроз в энергетическом секторе и ужесточением требований регуляторов. По данным Центра информационной безопасности энергетики, количество кибератак на энергетические компании увеличилось на 63% в 2023-2024 годах, при этом средний ущерб от одного инцидента составил 15,7 млн рублей.

Крупные энергетические компании, такие как ПАО "Газпром", обрабатывают огромные объемы конфиденциальной информации, включая данные о технологических процессах, коммерческой тайне и персональные данные сотрудников. По статистике, 78% инцидентов в энергетическом секторе связаны с недостаточно продуманной политикой информационной безопасности, что приводит к утечкам критически важной информации и нарушению технологических процессов.

Актуальность темы 2025 года заключается в том, что с 1 января 2025 года вступают в силу новые требования ФСТЭК России к политике информационной безопасности для организаций, относящихся к критической информационной инфраструктуре. Эти требования предусматривают обязательное внедрение комплекса организационных и технических мероприятий, что делает разработку актуальной политики безопасности не просто рекомендацией, а юридической обязанностью.

Пример введения

В условиях цифровизации энергетического сектора вопросы информационной безопасности приобретают стратегическое значение для национальной экономики. ПАО "Газпром", как одна из ключевых компаний критической информационной инфраструктуры России, ежедневно обрабатывает более 5 млн операций с конфиденциальной информацией, что делает ее привлекательной целью для киберпреступников.

Существующая политика информационной безопасности, утвержденная в 2019 году, не учитывает современные угрозы и требования регуляторов, что создает риски для технологических процессов и коммерческой тайны компании. Внедрение обновленной политики информационной безопасности, соответствующей требованиям ФСТЭК России и международному стандарту ISO/IEC 27001:2022, позволит минимизировать риски утечек данных и обеспечить защиту критически важных информационных систем.

В данной работе объектом исследования выступает система информационной безопасности ПАО "Газпром", а предметом — процессы разработки и внедрения политики информационной безопасности. Для достижения поставленной цели будут применены методы анализа угроз, проектирования политик безопасности и оценки эффективности внедренных мероприятий.

Цель и задачи исследования

Цель исследования: Разработка и внедрение политики информационной безопасности для ПАО "Газпром", соответствующей требованиям регуляторов и обеспечивающей снижение рисков информационной безопасности на 50%.

Задачи исследования:

• Провести анализ современных угроз информационной безопасности в энергетическом секторе
• Оценить текущее состояние системы информационной безопасности ПАО "Газпром"
• Разработать политику информационной безопасности с учетом требований ФСТЭК России и ISO/IEC 27001:2022
• Сформировать перечень организационных и технических мероприятий по обеспечению информационной безопасности
• Разработать методику оценки эффективности внедренной политики
• Провести оценку экономической эффективности предложенных мероприятий

Запутались в постановке задач? Наши эксперты помогут правильно сформулировать все разделы вашей работы.

Объект и предмет исследования

Объект исследования: Система информационной безопасности ПАО "Газпром", включающая организационные, технические и программно-аппаратные средства защиты информации.

Предмет исследования: Процессы разработки и внедрения политики информационной безопасности в крупной энергетической компании.

Изучая эти аспекты, мы фокусируемся на том, как современные подходы к управлению информационной безопасностью могут быть адаптированы под специфику энергетического сектора, обеспечивая защиту критически важных информационных систем и соответствие требованиям регуляторов.

Примерное содержание работы (План)

В первой главе мы проведем теоретический анализ современных подходов к управлению информационной безопасностью. Это позволит нам понять эволюцию методов защиты информации, от традиционных технических средств к комплексным системам менеджмента информационной безопасности (СМИБ). Особое внимание будет уделено анализу нормативно-правовой базы в области информационной безопасности, включая требования ФСТЭК России, ФСБ России и международного стандарта ISO/IEC 27001:2022, что является критически важным для энергетических компаний.

Во второй главе основное внимание уделено анализу предметной области — системы информационной безопасности ПАО "Газпром". Мы проведем аудит существующих процессов, выявим уязвимости и определим требования к новой политике безопасности. Этот этап включает анализ организационной структуры, текущих политик доступа, используемых технических средств защиты и уровня осведомленности сотрудников, что позволит сформировать основу для разработки новой политики.

Третья глава посвящена разработке и внедрению политики информационной безопасности. Здесь мы разработаем структуру политики, включающую организационные, технические и программно-аппаратные аспекты. Особое внимание будет уделено разработке конкретных процедур, регламентов и инструкций для различных категорий сотрудников, а также формированию перечня мероприятий по обеспечению безопасности. Мы также разработаем методику оценки эффективности внедрения и проведем анализ экономической целесообразности предложенных решений.

Ожидаемые результаты и практическая польза

В результате выполнения дипломной работы будет разработана политика информационной безопасности для ПАО "Газпром", включающая:

• Аналитический отчет по текущему состоянию системы информационной безопасности с выявленными уязвимостями
• Политику информационной безопасности, соответствующую требованиям ФСТЭК России и ISO/IEC 27001:2022
• Перечень организационных и технических мероприятий с планом внедрения
• Методику оценки эффективности внедрения политики безопасности
• Оценку экономической эффективности предложенных решений

Практическая польза от внедрения предложенного решения для ПАО "Газпром" будет заключаться в снижении рисков информационной безопасности на 50%, сокращении количества инцидентов на 65% и обеспечении соответствия требованиям регуляторов. Экономический эффект составит около 220 млн рублей в год за счет предотвращения возможных утечек информации и нарушений технологических процессов.

Что написать в заключении?

В ходе выполнения дипломной работы по теме "Разработка политики информационной безопасности и внедрение мероприятий по её обеспечению на предприятии ПАО 'Газпром'" были достигнуты следующие результаты:

Проведенный анализ существующей системы информационной безопасности выявил 15 критических уязвимостей, включая отсутствие регулярного обучения сотрудников и недостаточную защиту корпоративных мобильных устройств. Разработанная политика информационной безопасности охватывает все аспекты защиты информации, включая организационные, технические и программно-аппаратные меры, и соответствует требованиям ФСТЭК России и международного стандарта ISO/IEC 27001:2022.

Сформированный перечень мероприятий включает 45 конкретных действий, распределенных по трем этапам внедрения. Особое внимание уделено таким ключевым аспектам, как управление доступом, защита мобильных устройств, обучение сотрудников и реагирование на инциденты. Оценка экономической эффективности показала, что внедрение предложенных мероприятий позволит снизить риски информационной безопасности на 52% и сократить количество инцидентов на 67%.

Таким образом, цель исследования — разработка и внедрение политики информационной безопасности для ПАО "Газпром" — достигнута. Предложенное решение обеспечивает соответствие требованиям регуляторов и значительно повышает уровень защищенности критически важных информационных систем. Для дальнейшего развития рекомендуется внедрение системы автоматизированного мониторинга соблюдения политик безопасности и интеграция с системой управления рисками компании.

Примерный список источников

• Федеральный закон №187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (ред. 2024 г.)
• Постановление Правительства РФ от 14.11.2024 №1923 "Об утверждении требований к защите информации в организациях критической информационной инфраструктуры"
• ГОСТ Р ИСО/МЭК 27001-2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования"
• Методические рекомендации ФСТЭК России "Организация защиты информации в организациях критической информационной инфраструктуры", 2024 г.
• Семенов, Ю.А. Информационная безопасность в энергетическом секторе. — М.: Горячая линия-Телеком, 2023. — 384 с.
• Иванов, А.Б. Политики информационной безопасности: разработка и внедрение. — СПб.: БХВ-Петербург, 2024. — 320 с.
• Отчет Центра информационной безопасности энергетики "Киберугрозы в энергетическом секторе", 2024 г.

Полезные материалы для самостоятельной работы

• Как написать заключение в дипломной работе
• Как правильно оформить ссылки в дипломной работе
• Как поднять оригинальность дипломной работы
• Как подготовить презентацию для защиты дипломной работы